Как применить модель нулевого доверия с помощью Entra ID и Intune

Как применить модель нулевого доверия с помощью Entra ID и Intune

08.02.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам реализовать модель безопасности с нулевым доверием с использованием возможностей Microsoft Entra ID (ранее Azure Active Directory) и Microsoft Intune. Модель нулевого доверия, основанная на принципе «никогда не доверяй, всегда проверяй», представляет собой современный подход к безопасности, который предполагает, что ни одному запросу доступа не следует автоматически доверять, независимо от того, откуда он исходит или к какому ресурсу он пытается получить доступ [1].

Введение

С расширением удаленной работы, распространением персональных устройств и миграцией в облако традиционный периметр безопасности корпоративных сетей устарел. Модель нулевого доверия возникает как ответ на этот новый сценарий, требующий явной проверки для каждой попытки доступа, предоставляющий доступ с наименьшими привилегиями и всегда предполагающий нарушение. Microsoft Entra ID и Microsoft Intune являются важнейшими компонентами для построения надежной архитектуры нулевого доверия, защищающей идентификационные данные и конечные точки соответственно [2].

В этом практическом руководстве будут рассмотрены принципы нулевого доверия и продемонстрировано, как настроить и интегрировать Microsoft Entra ID и Microsoft Intune для применения этих принципов. Будут предоставлены пошаговые инструкции, примеры конфигурации и методы проверки, чтобы читатель мог реализовать и укрепить уровень безопасности своей организации с помощью подхода нулевого доверия.

Принципы нулевого доверия

Модель «нулевого доверия» построена на трех фундаментальных принципах [3]:

  1. Явная проверка. Всегда выполняйте аутентификацию и авторизацию на основе всех доступных точек данных, включая личность пользователя, местоположение, работоспособность устройства, чувствительность ресурсов и аномалии.
  2. Используйте доступ с минимальными привилегиями. Ограничьте доступ пользователей только к тому, что необходимо. Используйте методы «точно в срок» (JIT) и «точный доступ» (JEA), адаптивные политики с учетом рисков и защиту данных для защиты данных и производительности.
  3. Предположить нарушение: минимизируйте радиус взрыва и доступ к сегменту. Проверьте сквозное шифрование и используйте аналитику для обеспечения прозрачности, обнаружения угроз и улучшения защиты.

Предварительные условия

Для реализации модели нулевого доверия с помощью Microsoft Entra ID и Intune вам потребуются следующие элементы:

  1. Лицензирование: лицензии, соответствующие Microsoft Entra ID Premium P1 или P2 (для условного доступа) и Microsoft Intune (обычно являются частью пакетов Microsoft 365 E3/E5 или EMS E3/E5) [4].
  2. Административный доступ: учетные записи с разрешениями глобального администратора, администратора безопасности или администратора Intune на порталах центра администрирования Microsoft Entra (entra.microsoft.com) и центра администрирования Microsoft Endpoint Manager (endpoint.microsoft.com).
  3. Устройства, зарегистрированные в Intune: устройства Windows 10/11, уже зарегистрированные и управляемые Microsoft Intune.
  4. Идентификаторы в Microsoft Entra ID: пользователи и группы, синхронизированные или созданные в Microsoft Entra ID.

Шаг за шагом: применение модели нулевого доверия

Мы сосредоточимся на том, как Microsoft Entra ID и Intune работают вместе, обеспечивая соблюдение принципов нулевого доверия, особенно «Явная проверка» и «Использование доступа с наименьшими привилегиями».

1. Укрепление личности с помощью Microsoft Entra ID

Microsoft Entra ID — это основа нулевого доверия для удостоверений, гарантирующая доступ только проверенным пользователям.

1.1. Внедрить многофакторную аутентификацию (MFA)

MFA — это фундаментальный компонент принципа «явной проверки».

  1. Настройка MFA через условный доступ. Как подробно описано в статье 3, создайте политику условного доступа, требующую MFA для всех пользователей, для определенных групп или для доступа из-за пределов корпоративной сети.
    • В центре администрирования входа в Microsoft выберите Защита > Условный доступ.
    • Создайте новую политику со следующими настройками:
      • Назначения > Удостоверения пользователей или рабочие нагрузки: выберите Все пользователи (исключая экстренные учетные записи).
      • Облачные ресурсы или действия: Все облачные приложения.
      • Предоставить: установите флажок Требовать многофакторную аутентификацию.
      • Включить политику: Включено.

1.2. Включите защиту идентификации Azure AD.

Identity Protection обнаруживает уязвимости, влияющие на идентификационные данные вашей организации, настраивает автоматизированные политики, основанные на рисках, для защиты этих удостоверений и исследует рискованные действия [5].

  1. В центре администрирования входа в Microsoft выберите Защита > Защита личных данных.
  2. Политики рисков пользователей: настройте эту политику, чтобы требовать MFA или сброса пароля для пользователей со средним или высоким риском.
    • Роли > Пользователи: выберите Все пользователи.
    • Условия > Риск пользователя: выберите Средний и выше.
    • Управление > Доступ: Предоставить доступ и Требовать сброс пароля или Требовать многофакторную аутентификацию.
    • Включить политику: Включено.
  3. Политики входных рисков. Настройте эту политику, чтобы блокировать или требовать MFA для рискованных входных данных.
    • Роли > Пользователи: выберите Все пользователи.
    • Условия > Входной риск: выберите Средний и выше.
    • Управление > Доступ: Предоставить доступ и Требовать многофакторную аутентификацию (или Блокировать доступ в случае высокого риска).
    • Включить политику: Включено.

2. Обеспечение целостности конечной точки с помощью Microsoft Intune

Intune гарантирует, что устройства, обращающиеся к корпоративным ресурсам, работоспособны и совместимы, применяя к устройству принцип «явной проверки».

2.1. Создание политик соответствия устройств

Политики соответствия определяют требования безопасности, которым должно соответствовать устройство, чтобы считаться соответствующим. Доступ к устройствам, не соответствующим требованиям, может быть заблокирован или ограничен с помощью условного доступа.

  1. В центре администрирования Microsoft Endpoint Manager (https://endpoint.microsoft.com) выберите Endpoint Security > Соответствие устройств > Политики.
  2. Нажмите Создать политику.
  3. Платформа: Windows 10 и более поздние версии.
  4. Настройки соответствия:
    • Целостность устройства: требуется BitLocker, безопасная загрузка и т. д.
    • Безопасность устройства: требуется антивирус (например, антивирусная программа Microsoft Defender), брандмауэр, сложные пароли и т. д.
    • Свойства устройства: требуется минимальная версия ОС.
  5. Действия при несоответствии: настройте такие действия, как пометка устройства как несоответствующего немедленно или после льготного периода.
  6. Назначения: назначьте политику соответствующим группам устройств Windows.

2.2. Создание профилей конфигурации устройств

Профили конфигурации позволяют развертывать определенные параметры безопасности, такие как параметры брандмауэра, параметры безопасности Microsoft Defender и ограничения устройств.

  1. В центре администрирования Microsoft Endpoint Manager выберите Устройства > Windows > Профили конфигурации.
  2. Нажмите Создать профиль.
  3. Платформа: Windows 10 и более поздние версии.
  4. Тип профиля: выберите такие шаблоны, как «Защита конечных точек», чтобы настроить антивирусную программу и брандмауэр Microsoft Defender, или «Ограничения устройства», чтобы отключить определенные функции.
  5. Настройте параметры безопасности в соответствии с лучшими практиками вашей организации.
  6. Назначения: назначьте профиль соответствующим группам устройств Windows.

3. Интеграция Entra ID и Intune с условным доступом

Условный доступ — это механизм, который объединяет политики идентификации (Entra ID) и устройства (Intune) для обеспечения соблюдения нулевого доверия.

3.1. Создайте политику условного доступа, чтобы требовать совместимое устройство

Эта политика гарантирует, что доступ к облачным приложениям смогут получить только устройства, соответствующие стандартам соответствия Intune.

  1. В центре администрирования входа в Microsoft выберите Защита > Условный доступ.
  2. Нажмите Новая политика > Создать новую политику.
  3. Имя: «Для доступа требуется совместимое устройство».
  4. Назначения > Удостоверения пользователей или рабочие нагрузки: выберите Все пользователи (исключая экстренные учетные записи).
  5. Облачные ресурсы или действия: Все облачные приложения.
  6. Условия (необязательно). Вы можете добавить условия, например «Платформы устройств» для Windows.
  7. Грант:
    • Выберите Предоставить доступ.
    • Установите флажок Требовать, чтобы устройство было помечено как поддерживаемое. Нажмите Выбратьт. д. *.
  8. Включить политику: Включено.
  9. Нажмите Создать.

Проверка и тестирование

Проверка реализации нулевого доверия имеет решающее значение для обеспечения того, чтобы политики работали должным образом.

1. Проверка доступа с совместимого устройства

  1. На совместимом с Windows устройстве под управлением Intune попытайтесь получить доступ к облачному приложению (например: «portal.office.com»).
  2. Доступ должен быть предоставлен после аутентификации пользователя (и MFA, если настроено).

2. Тестовый доступ с несовместимого устройства

  1. На устройстве Windows, не совместимом (например, отключите брандмауэр, измените версию ОС на версию, не разрешенную политикой соответствия Intune, или используйте неуправляемое устройство).
  2. Попробуйте получить доступ к облачному приложению (например, «portal.office.com»).
  3. Доступ должен быть заблокирован, а пользователь должен получить сообщение о том, что устройство не соответствует требованиям и не может получить доступ к ресурсу.

3. Мониторинг отчетов об условном доступе

  1. В центре администрирования входа в Microsoft выберите Защита > Условный доступ > Отчеты.
  2. Просмотрите журналы ввода, чтобы узнать, какие политики условного доступа были применены, и результат (успех, сбой, только отчет).

Советы и рекомендации по безопасности

  • Начинайте с малого, расширяйтесь постепенно: внедрите политики нулевого доверия в тестовых группах, прежде чем расширять масштабы всей организации, чтобы свести к минимуму сбои.
  • Образование и общение. Четко сообщайте пользователям об изменениях и обучайте их тому, как обеспечить совместимость их устройств и как использовать MFA.
  • Непрерывный мониторинг. Регулярно отслеживайте отчеты Intune о соответствии требованиям, а также журналы условного доступа и защиты личных данных, чтобы выявлять любые пробелы или аномалии.
  • Доступ с наименьшими привилегиями: объедините политики условного доступа с PIM (управлением привилегированными пользователями), чтобы гарантировать, что привилегированный доступ будет своевременным и достаточным.
  • Предположить нарушение: настройте Microsoft Defender для конечной точки для расширенного обнаружения угроз на конечной точке и Microsoft Sentinel для координации безопасности и автоматического реагирования.
  • Периодический пересмотр. Регулярно проверяйте и корректируйте политики нулевого доверия, чтобы адаптироваться к изменениям в среде угроз и бизнес-требованиям.

Распространенное устранение неполадок

  • Доступ заблокирован неожиданно. Проверьте журналы входа в систему условного доступа, чтобы определить, какая политика блокирует доступ. Проверьте политики соответствия Intune для затронутого устройства.
  • Устройство не соответствует. Проверьте статус соответствия вашего устройства в Intune. Возможно, устройство не получило политики или какая-то конфигурация препятствует соблюдению требований (например, отключен антивирус, старая версия ОС).
  • Конфликты политик: просмотрите все политики условного доступа и соответствия требованиям, чтобы убедиться в отсутствии конфликтующих исключений или включений, которые могут привести к неожиданному поведению.
  • Проблемы с синхронизацией. Убедитесь, что устройства и пользователи правильно синхронизируются с Intune и Azure AD соответственно.

Заключение

Применение модели нулевого доверия является важной стратегией безопасности для защиты организаций в современном цифровом мире. Используя Microsoft Entra ID для управления удостоверениями и Microsoft Intune для обеспечения целостности конечных точек, компании могут реализовать надежный подход к безопасности, который явно проверяет каждый запрос на доступ и действует на основе принципа наименьших привилегий. Интеграция этих инструментов посредством условного доступа создает мощную адаптивную защиту, гарантируя, что только доверенные пользователи и устройства смогут получить доступ к корпоративным ресурсам, независимо от их местоположения. Путь к нулевому доверию продолжается и требует постоянного мониторинга и доработки, но преимущества с точки зрения снижения рисков и укрепления безопасности неоценимы.

Ссылки:

[1] Microsoft Learn. Что такое нулевое доверие?. Доступно по адресу: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview. [2] Microsoft Learn. Нулевое доверие с Microsoft Intune. Доступно по адресу: https://Learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn. Руководящие принципы нулевого доверия. Доступно по адресу: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn. Лицензирование для Microsoft Enter ID. Доступно по адресу: https://azure.microsoft.com/pt-br/pricing/details/active-directory/. [5] Microsoft Learn. Что такое защита личных данных?. Доступно по адресу: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection